Il Garante per la protezione dei dati personali ha inflitto una sanzione amministrativa di 17,6 milioni di euro a Intesa Sanpaolo per il trattamento illecito dei dati personali di circa 2,4 milioni di clienti nel contesto della migrazione dei conti verso Isybank, la banca digitale del gruppo.
Il provvedimento chiude un’istruttoria avviata dopo numerose segnalazioni di correntisti che avevano contestato le modalità con cui erano stati informati del trasferimento alla nuova piattaforma bancaria. Al centro della decisione ci sono la profilazione della clientela utilizzata per selezionare i soggetti da spostare verso Isybank, la modifica del rapporto bancario e la qualità delle comunicazioni inviate agli interessati.
La profilazione dei clienti finisce al centro del provvedimento
Secondo quanto ricostruito dall’Autorità, Intesa Sanpaolo ha individuato i clienti destinatari della migrazione attraverso una serie di criteri, tra cui età inferiore ai 65 anni, utilizzo abituale dei servizi digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a determinate soglie.
Per il Garante, questa attività integra una forma di profilazione che richiedeva una base giuridica adeguata e un’informazione chiara nei confronti degli interessati. In assenza di questi presupposti, il trattamento è stato ritenuto illecito.
Il punto ha una portata che va oltre il singolo caso. La segmentazione della clientela sulla base di dati comportamentali e patrimoniali è una pratica sempre più diffusa nei servizi digitali, ma quando produce effetti concreti sulla posizione dell’utente richiede particolare attenzione sotto il profilo della protezione dei dati.
Il trasferimento a Isybank non era una modifica marginale
Nel provvedimento emerge con chiarezza un secondo elemento: il passaggio a Isybank non poteva essere letto come una semplice riorganizzazione interna dei servizi. Il trasferimento comportava infatti il passaggio a una banca diversa all’interno del gruppo, con un diverso titolare del trattamento e con effetti diretti sul rapporto contrattuale.
Per i correntisti questo si traduceva in cambiamenti concreti, tra cui un nuovo IBAN, l’adozione di un modello di banca esclusivamente digitale, l’assenza di sportelli fisici e l’accesso ai servizi tramite applicazione mobile.
Secondo l’Autorità, interventi di questo tipo incidono in modo diretto sulla posizione del cliente e richiedono quindi un livello di trasparenza pienamente adeguato rispetto alla rilevanza delle modifiche introdotte.
Le comunicazioni ai clienti ritenute poco visibili
Un altro profilo contestato riguarda le modalità con cui la banca ha informato i clienti del trasferimento. Le comunicazioni relative alla migrazione sono state veicolate soprattutto attraverso l’archivio dell’app di home banking e, in molti casi, nel periodo estivo, senza strumenti di notifica più immediati come SMS o notifiche push.
Per il Garante, una modalità di questo tipo non garantiva un livello sufficiente di visibilità e comprensibilità. Molti clienti, secondo l’impostazione dell’Autorità, non sono stati messi nelle condizioni di cogliere con immediatezza la portata della modifica e le conseguenze del passaggio a un servizio bancario interamente digitale.
Il tema è rilevante anche oltre il settore bancario. Nel mercato digitale la validità sostanziale di una comunicazione non dipende solo dal fatto che sia stata formalmente inviata, ma anche dalla sua concreta capacità di raggiungere l’utente in modo chiaro, leggibile e tempestivo.
Perché la decisione conta per tutto il settore digitale
Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della gravità delle violazioni, del numero elevato di interessati coinvolti, del carattere colposo delle condotte contestate e della collaborazione fornita dall’istituto nel corso dell’istruttoria.
La decisione rappresenta uno dei passaggi più significativi degli ultimi anni nel rapporto tra digitalizzazione dei servizi finanziari e tutela dei dati personali. Il caso mostra che l’innovazione nei modelli bancari, la migrazione verso piattaforme digital only e l’uso di logiche di segmentazione della clientela non possono essere gestiti come meri processi tecnici o commerciali.
Per banche, fintech e operatori che progettano servizi basati sui dati, il provvedimento offre un’indicazione precisa. Quando l’analisi delle informazioni personali orienta scelte che incidono sul contratto, sull’accesso ai servizi o sull’esperienza dell’utente, servono basi giuridiche solide, informative realmente comprensibili e una progettazione coerente con i principi di liceità, correttezza e trasparenza.
Il caso Intesa Sanpaolo – Isybank è destinato quindi a diventare un riferimento importante nel dibattito sulla governance dei dati nel settore finanziario, soprattutto in una fase in cui la trasformazione digitale delle banche procede insieme a un crescente livello di attenzione regolatoria.
